Mémoires d'Actuariat
Utilisation de données de cybersécurité pour une quantification dynamique du risque cyber
Auteur(s) ROSAL N.
Société Exiom Partners
Année 2024
Résumé
Classé en première place de la cartographie des risques de France Assureurs depuis 2017, le risque cyber inquiète aujourd’hui plus que jamais. L’assurance cyber, en plein développement, se heurte aux spécificités de ce risque et à une pénétration inégale du marché des entreprises, particulièrement faible pour les PME. Ce contexte, accentué par un manque de données de sinistre fiables, rend la quantification complexe. De nombreux acteurs demandent alors une meilleure connaissance du risque et une quantification en temps réel pouvant se détacher de la nécessité d’une base de données de sinistres. Ce mémoire explore alors sous forme de pistes de recherche l’utilisation de données de cybersécurité pour la quantification dynamique du risque cyber dans un contexte d’assurance. Une modélisation basée sur des graphes et des modèles graphiques bayésiens est proposée. L’étude se concentre sur les PME, particulièrement vulnérables, et développe une approche permettant d’intégrer la volatilité des risques et l’évolution des vulnérabilités spécifiques à chaque entreprise, tout en se détachant du cadre classique. À travers un portefeuille fictif, la méthodologie est appliquée à un contexte de perte d’exploitation. Le mémoire démontre comment cette approche dynamique peut améliorer la quantification du risque en assurance cyber et comment elle peut être utilisée pour aider l’assureur à proposer l’accompagnement dont les PME ont besoin. L’approche est prometteuse, mais nécessite de futures recherches pour être applicable, notamment concernant les différents paramètres du modèle.
Abstract
Ranked first in the risk mapping by France Assureurs since 2017, cyber risk is now more concerning than ever. Cyber insurance, which is rapidly developing, faces challenges due to the specific nature of this risk and uneven market penetration among companies, particularly low for SMEs. This context, compounded by a lack of reliable claims data, makes pricing complex. Many stakeholders are therefore calling for better risk understanding and real-time quantification that does not rely on a claims database. This thesis thus explores, in the form of research avenues, the use of cybersecurity data for the dynamic quantification of cyber risk in an insurance context. A modeling approach based on graphs and Bayesian graphical models is proposed. The study focuses on SMEs, which are particularly vulnerable, and develops a methodology that accounts for the volatility of risks and the evolution of vulnerabilities specific to each company, moving away from traditional frameworks. Using a hypothetical portfolio, the methodology is applied to a business interruption context. The thesis demonstrates how this dynamic approach can enhance cyber risk quantification in insurance and how it can help insurers provide the support SMEs need. While the approach is promising, it requires further research to become fully applicable, particularly regarding the various model parameters.
Mémoire complet
Auteur(s) ROSAL N.
Société Exiom Partners
Année 2024
Résumé
Classé en première place de la cartographie des risques de France Assureurs depuis 2017, le risque cyber inquiète aujourd’hui plus que jamais. L’assurance cyber, en plein développement, se heurte aux spécificités de ce risque et à une pénétration inégale du marché des entreprises, particulièrement faible pour les PME. Ce contexte, accentué par un manque de données de sinistre fiables, rend la quantification complexe. De nombreux acteurs demandent alors une meilleure connaissance du risque et une quantification en temps réel pouvant se détacher de la nécessité d’une base de données de sinistres. Ce mémoire explore alors sous forme de pistes de recherche l’utilisation de données de cybersécurité pour la quantification dynamique du risque cyber dans un contexte d’assurance. Une modélisation basée sur des graphes et des modèles graphiques bayésiens est proposée. L’étude se concentre sur les PME, particulièrement vulnérables, et développe une approche permettant d’intégrer la volatilité des risques et l’évolution des vulnérabilités spécifiques à chaque entreprise, tout en se détachant du cadre classique. À travers un portefeuille fictif, la méthodologie est appliquée à un contexte de perte d’exploitation. Le mémoire démontre comment cette approche dynamique peut améliorer la quantification du risque en assurance cyber et comment elle peut être utilisée pour aider l’assureur à proposer l’accompagnement dont les PME ont besoin. L’approche est prometteuse, mais nécessite de futures recherches pour être applicable, notamment concernant les différents paramètres du modèle.
Abstract
Ranked first in the risk mapping by France Assureurs since 2017, cyber risk is now more concerning than ever. Cyber insurance, which is rapidly developing, faces challenges due to the specific nature of this risk and uneven market penetration among companies, particularly low for SMEs. This context, compounded by a lack of reliable claims data, makes pricing complex. Many stakeholders are therefore calling for better risk understanding and real-time quantification that does not rely on a claims database. This thesis thus explores, in the form of research avenues, the use of cybersecurity data for the dynamic quantification of cyber risk in an insurance context. A modeling approach based on graphs and Bayesian graphical models is proposed. The study focuses on SMEs, which are particularly vulnerable, and develops a methodology that accounts for the volatility of risks and the evolution of vulnerabilities specific to each company, moving away from traditional frameworks. Using a hypothetical portfolio, the methodology is applied to a business interruption context. The thesis demonstrates how this dynamic approach can enhance cyber risk quantification in insurance and how it can help insurers provide the support SMEs need. While the approach is promising, it requires further research to become fully applicable, particularly regarding the various model parameters.
Mémoire complet
